| 10.14489/vkit.2026.06.pp.003-013 |
|
DOI: 10.14489/vkit.2026.06.pp.003-013 Бирюков М. А., Ким З. В., Кузин П. И., Алленов Д. С. Аннотация. Исследована проблема выявления аномального поведения в сетевом трафике с использованием методов машинного обучения (ML) в условиях экспоненциального роста объемов данных, повсеместного шифрования и эволюции угроз. Классические сигнатурные системы ограничены против атак «нулевого дня» и полиморфного вредоносного программного обеспечения. Реализованы три подхода: модель с учителем XGBoost для классификации известных атак, модель без учителя Isolation Forest для выявления новых аномалий и гибридная схема, объединяющая их оценки в единый риск-скор (максимум вероятности XGBoost и нормализованной оценки Isolation Forest). Разработан полный пайплайн: агрегация пакетов в потоки по 5-кортежу с временным окном, извлечение более 40 поведенческих признаков, предобработка, обучение и оценка. Эксперименты проведены на эталонных датасетах с временным разбиением данных, стратифицированной валидацией и калибровкой порогов по максимуму F1-score. Рассмотренная система применима в системах обнаружения и реагирования на сетевые угрозы как вспомогательный модуль в корпоративных, операторских и IoT-сетях, а также для интеграции с существующими IDS/IPS и коммерческими платформами. Подходит для мониторинга шифрованного трафика в реальном времени при объемах до десятков тысяч потоков в секунду. Гибридная модель на базе XGBoost и Isolation Forest обеспечивает оптимальное сочетание точности, полноты и низкой шумности, создавая основу для современных систем безопасности нового поколения. Ключевые слова: обнаружение аномалий; сетевой трафик; машинное обучение; гибридная модель; XGBoost; Isolation Forest; сетевые атаки.
Abstract. To investigate the problem of detecting anomalous behaviour in network traffic using machine learning methods under conditions of exponential growth in data volumes, widespread encryption and evolving threats. Classical signature-based systems are limited in effectiveness against zero-day attacks and polymorphic malware. Three approaches were implemented: a supervised XGBoost model for classifying known attack types, an unsupervised Isolation Forest model for detecting new anomalies, and a hybrid scheme that combines the scores of both models into a single risk-score (the maximum of the XGBoost probability and the normalised Isolation Forest score). A complete pipeline was developed: aggregation of packets into flows by 5-tuple with a time window, extraction of more than 40 behavioural features, preprocessing, training and evaluation. Experiments were conducted on benchmark datasets with temporal data splitting, stratified validation and threshold calibration based on the maximum F1-score. The hybrid approach demonstrated the best balance: for DDoS/DoS – Recall 0.995, PortScan – 0.960, Brute-force – 0.910, C2-beaconing – 0.920 with an overall FPR of 0.83 % and F1-score of 0.932. Compared to pure XGBoost, recall increased by 12–18 %; compared to Isolation Forest, FPR decreased by 3–4 %. Average detection time in real-time mode – 1.1 s. Confusion matrices and ROC/PR curves confirmed the superiority of the hybrid model across all scenarios. The developed system is applicable in network threat detection and response systems, as an auxiliary module in corporate, operator and IoT networks, as well as for integration with existing IDS/IPS and commercial platforms. It is suitable for monitoring encrypted traffic in real time at volumes of up to tens of thousands of flows per second. The hybrid model based on XGBoost and Isolation Forest provides an optimal combination of accuracy, recall and low noise level, forming the basis for modern next-generation security systems. Keywords: Anomaly Detection; Network Traffic; Machine Learning; Hybrid Model; XGBoost; Isolation Forest; Network Attacks.
РусМ. А. Бирюков, З. В. Ким (Санкт-Петербургский государственный университет телекоммуникаций имени М. А. Бонч-Бруевича, Санкт-Петербург, Россия)
EngM. A. Biryukov, Z. V. Kim (Saint Petersburg State University of Telecommunications named after Professor M.A. Bonch-Bruevich, Saint Petersburg, Russia)
Рус1. Dardouri S., Almuhanna R. A Deep Learning/Machine Learning Approach for Anomaly Based Network Intrusion Detection // Frontiers in Artificial Intelligence. 2025. Vol. 8. Art. 1625891. Eng1. Dardouri, S., & Almuhanna, R. (2025). A deep learning/machine learning approach for anomaly based network intrusion detection. Frontiers in Artificial Intelligence, 8, Article 1625891.
РусСтатью можно приобрести в электронном виде (PDF формат). Стоимость статьи 700 руб. (в том числе НДС 20%). После оформления заказа, в течение нескольких дней, на указанный вами e-mail придут счет и квитанция для оплаты в банке. После поступления денег на счет издательства, вам будет выслан электронный вариант статьи. Для заказа скопируйте doi статьи: 10.14489/vkit.2026.06.pp.003-013 Отправляя форму вы даете согласие на обработку персональных данных. .
EngThis article is available in electronic format (PDF). The cost of a single article is 700 rubles. (including VAT 20%). After you place an order within a few days, you will receive following documents to your specified e-mail: account on payment and receipt to pay in the bank. After depositing your payment on our bank account we send you file of the article by e-mail. To order articles please copy the article doi: 10.14489/vkit.2026.06.pp.003-013 and fill out the
.
|
Текущий номер
Разработка концепции и создание сайта - ООО «Издательский дом «СПЕКТР»